Yarbo割草機器人傳出重大安全漏洞,可能遭攻擊者遠端控制,用戶需立即升級新版韌體
來源: iThome | 2026-05-18 URL: https://www.ithome.com.tw/news/175831
摘要
德國資安研究員 Andreas Makris 於 GitHub 發布報告,揭露 Yarbo(中國漢陽科技旗下品牌,主打北美市場)割草機器人韌體存在重大安全漏洞,可遭遠端控制,危及人身安全。
漏洞詳情
| CVE編號 | 類型 | CVSS評分 |
|---|---|---|
| CVE-2026-7413 | 持久性後門漏洞 | - |
| CVE-2026-7414 | 管理員預設憑證漏洞 | 9.8 |
| CVE-2026-7415 | 未授權MQTT存取漏洞 | 9.8 |
- 系統寫死root密碼(hardcoded root password)
- 內建長期開放的遠端維護通道
- MQTT通訊機制權限控管不足
攻擊者可執行
- 遠端接管設備
- 存取攝影機畫面
- 竊取用戶 Wi-Fi 密碼與 GPS 位置
- 入侵單一設備後橫向控制整個機器人群組
- 用戶按下緊急停止後,仍可遠端重啟割草刀片
危險程度
Yarbo 為重達90公斤、配備大型刀具的履帶式重型機具(一般割草機器人僅10-20公斤),失控風險遠高於一般產品。
Yarbo 官方回應
- 承認漏洞屬實,歸因於 legacy 遠端支援架構
- 新版韌體已暫停遠端維護通道、重設root密碼、限制後端服務權限
- 承諾為每台設備導入專屬憑證、建立可稽核的遠端診斷機制、成立安全應變中心、規畫漏洞懸賞計畫
衍生頁面
- Yarbo割草機器人重大安全漏洞CVE-2026-7413 7414 7415 — 主要概念頁面
- yarbo — Yarbo 品牌實體頁面